Changes between Version 12 and Version 13 of TipAndDoc/network/iptables

Timestamp:

Jul 5, 2009 6:35:55 PM (15 years ago)

Author:

mitty

Comment:

--

TipAndDoc/network/iptables

@@ -144 +144 @@
  == [source:/trunk/iptables/setnapt.sh setnapt.sh] ==
  * for Ubuntu
+ * nat table(のPOSTROUTINGチェイン)を添削するため、[#setfilter]の[13]以降と排他利用
+   * source:/trunk/iptables/setfilter@10 とは共用可能
  * WANデバイス毎にIP MASQUERADEを設定
  * /etc/network/interfaces にて、LANデバイスの活性化時に自動呼び出しされるようにして使用
@@ -158 +160 @@
  == [source:/trunk/iptables/setfilter setfilter] ==
  * for Ubuntu
- * raw, mangle tableを使って不要・異常なパケットを落とすポリシーを起動時自動登録
+ * raw, mangle nar tableを使って不要・異常なパケットを落とすポリシーを起動時自動登録
+   * natテーブルをresetするため、[#setnapt.sh]と排他利用
  * /etc/init.d/setfilter start/stop
  * source:/trunk/iptables/ufw と併せて使用
@@ -167 +170 @@
  * for Ubuntu
  * /etc/ufw/*.rules に配置
- * see [12]
-   * LANがeth0, WANがeth1という想定
-   * LAN => 192.168.100.0/24
-   * IP MASQUERADEについては[#setnapt.sh]で設定
-   * LAN -> GW ->WAN の通信は通過
-   * WAN -> GW は拒否
-   * after.rules, before.rules については既存のルールに追加
-   * ログは「「--log-level err」にしているが、Ubuntuではコンソールにも出力されるようになるので注意 (コンソールで作業する際に表示が邪魔になる)
-     * noticeあたりにすればコンソール出力は無くなる
+ === [12] ===
+ * LANがeth0, WANがeth1という想定
+ * LAN => 192.168.100.0/24
+ * IP MASQUERADEについては[#setnapt.sh]で設定
+ * LAN -> GW ->WAN の通信は通過
+ * WAN -> GW は拒否
+ * after.rules, before.rules については既存のルールに追加
+ * ログは「「--log-level err」にしているが、Ubuntuではコンソールにも出力されるようになるので注意 (コンソールで作業する際に表示が邪魔になる)
+   * noticeあたりにすればコンソール出力は無くなる
+ === [13] ===
+ * 22/tcp, 443/tcpをWANからもListen可能に。
+ * REDIRECTを用いて、
+   * 同じポートだがNICごとに違うサービスに接続できる
+   1. 8443/tcpへ届いたパケットは443/tcpへ転送(全NIC)
+   1. WAN(eth1)側のみ、8000/tcp -> 443/tcp と転送
+   1. LAN(eth0)側のみ、8000/tcp -> 22/tcp と転送
+ * REDIRECTする場合は、転送先ポートでのINPUTがACCEPTされている必要がある
+   * REDIRECTのみ設定し、[changeset:13#file1 INPUT chain]側は設定しない(つまり8443/tcp, 8000/tcpのみListenしたい)のは不可
+   * DNATを用いて、loopback等必ずACCEPTされるデバイスに転送する方法が使えるかも(未検証) see also [http://www.atmarkit.co.jp/flinux/rensai/iptables02/iptables02d.html ＠IT：natテーブルを利用したLinuxルータの作成（4/6）]